方德高可信服务器操作系统Meltdown和Spectre漏洞修复-中科方德
方德高可信服务器操作系统Meltdown和 Spectre 漏洞修复指南
导读:近日爆出的Intel CPU特性漏洞分为”Meltdown”和”Spectre”两个部分,
有3个已知的CVEs与Intel、AMD和ARM架构相关。 “Meltdown”和“Spectre”漏
洞存在内存数据被非授权访问及恶意修改的潜在风险。漏洞会造成CPU 运作机制
上的信息泄露,导致低权限的攻击者可以通过漏洞来窃取内核内存中保存的敏感
信息。方德高可信服务器操作系统的漏洞修复解决方案如下,中科方德还会持续
跟进业界进展,向用户提供安全可靠解决方案。
漏洞描述:
针对 Intel CPU 处理器涉及到两种攻击方法,分别为 Meltdown 和 Spectre,
Meltdown涉及CVE编号CVE-2017-5754,而Spectre涉及CVE编号CVE-2017-5753
和 CVE-2017-5715。
Meltdown 严重程度最高,它破坏了位于用户和操作系统之间的基本隔离,允
许程序访问内存,因此用户程序或操作系统的敏感信息可能会被窃取。这个漏洞
“熔化”了由硬件来实现的安全边界。允许低权限用户级别的应用程序“越界”
访问系统级的内存,从而造成数据泄露。
Spectre严重程度稍低,Spectre 攻击需要目标程序具有特殊结构,所以受
到目标软件的限制,如果目标程序不具有该特殊结构,那么 Spectre攻击就很难
进行。但是相对于 Meltdown攻击目前仅限于Intel处理器上,Spectre 攻击适
用于Intel、AMD、ARM 等众多类型的处理器。这个问题由 CPU的分支预测执行
(speculative execution)引起,在分支指令执行时,由于分支指令执行可能
需要内存读取(上百个 CPU周期),在分支指令执行结束之前,CPU 会预测哪一
个分支会被运行,提取相应的指令代码并执行,以提高CPU 指令流水线的性能。
在此过程中,CPU 没有很好地将低权限的应用程序与访问内核内存分开,攻击者
可以使用恶意应用程序来获取应该被隔离的私有数据。
修复方案适用版本:
1
方德高可信服务器操作系统 V3.0
方德高可信服务器操作系统 V3.1
修复方案适用诊断:
在方德高可信服务器操作系统 V3.0/3.1 中,如何确认当前系统 kernel 及相关软
件包版本是否存在漏洞?可逐一使用如下命令分别察看系统中安装包的版本:
rpm -q kernel
rpm -q libvirt
rpm -q microcode_ctl
rpm -q qemu-kvm
如果上述命令查询结果的 rpm 包版本号出现如下任何情况之一,则表明存在系统
漏洞,需要及时更新相关包:
kernel 版本低于 kernel-3.10.0-514.26.2.nfs.8
libvirt 版本低于 libvirt-3.2.0-14.nfs.7
qemu-kvm 版本低于 qemu-kvm-1.5.3-141.nfs.6
microcode_ctl 版本低于 microcode_ctl-2.1-22.5
修复方案使用方法:
步骤1,获取系统已安装的 kernel、libvirt、qemu-kvm、microcode_ctl这四
类相关软件包列表,可使用如下命令查询:
rpm -qa | grep -E “^kernel|libvirt|qemu-kvm|microcode_ctl”查询结果可能如下:
2
[root@localhost ~]# rpm -qa|grep -E "^kernel|libvirt|qemu-kvm|microcode_ctl"
libvirt-gobject-0.1.9-1.nfs.x86_64
libvirt-python-1.2.17-2.nfs.x86_64
qemu-kvm-tools-1.5.3-105.nfs.8.x86_64
kernel-tools-3.10.0-514.26.2.nfs.3.x86_64
libvirt-daemon-driver-nwfilter-1.2.17-13.nfs.5.
